Sophos-portaler: SophosID, Central, Support och Brandväggsåtkomst
Sophos har flera portaler som lätt förväxlas i vardagen: SophosID, Sophos Central, Supportportal, lokal brandvägg WebAdmin, User Portal, VPN Portal, Captive Portal och dokumentation. Det är viktigt för administratörer vilken portal som är avsedd för vilket ändamål, vilken inloggning som används och vilka åtkomster som är säkerhetskritiska.
Denna översikt klassificerar de viktigaste Sophos-portalerna. Artikeln riktar sig främst till administratörer som driver Sophos Firewall, Sophos Central eller Remote Access och som snabbt behöver veta var vilken uppgift utförs vid eventuell support.
Snabböversikt
De viktigaste portalerna:
- SophosID: personligt Sophos-konto för att logga in på Sophos-tjänster och komma åt support- och licensfunktioner.
- Sophos Central: Molnhantering för produkter, användare, enheter, licenser, brandväggshantering och rapporter.
- Sophos Support Portal: Supportcase, RMA, Sophos KB och supportkommunikation.
- Sophos Firewall WebAdmin: lokal brandväggshantering för regler, VPN, NAT, certifikat, loggar, firmware och Device Access.
- User Portal: Användarfunktioner som OTP, karantän, nedladdningar eller äldre fjärråtkomstfunktioner.
- VPN Portal: Fjärråtkomst med Sophos Connect nedladdning, VPN-konfigurationer och användaråtkomst.
- Captive Portal: Användarinloggning för nätverksåtkomst, gäster eller interna användare via webbläsarinloggning.
- Sophos Docs and Release Notes: aktuella manualer, release notes och kända begränsningar.
Alla portaler är inte relevanta i alla miljöer. En ren Sophos-brandväggsinstallation utan central slutpunkt behöver annan åtkomst än ett företag med Sophos Central, MDR, ZTNA och flera brandväggar.
Sophos-konto och molnportalerDessa portaler ligger utanför den lokala brandväggen och gäller konto, licensiering, molnhantering eller support. De blir särskilt viktiga när det finns flera administratörer, Sophos Central eller ett supportärende på gång.
SophosID
SophosID är det personliga Sophos-kontot. SophosID används för flera Sophos-tjänster, såsom support-, konto- och licensfunktioner, eller åtkomst till vissa Sophos-portaler.
Öppna SophosID:
Viktigt för driften:
- SophosID-konton ska vara personliga, inte en delad teaminloggning.
- MFA bör vara aktiverat om Sophos erbjuder det för respektive access.
- Om du lämnar, måste personlig åtkomst tas bort från Sophos Central, support och licenssammanhang.
- Roller och ansvar bör dokumenteras för tjänsteleverantörer eller flera administratörer.
Om en Sophos Firewall behöver överföras till ett annat konto, hjälper Överför Sophos Firewall till ett annat Sophos Central-konto.
Sophos CentralSophos Central är molnhanteringsplattformen för många aktuella Sophos-produkter. Beroende på licens hanteras slutpunkt, server, e-post, trådlöst, ZTNA, brandväggshantering, rapportering, MDR/XDR och andra funktioner där.
Öppna Sophos Central:
Ytterligare introduktioner:
För Sophos Firewall är Sophos Central särskilt relevant om brandväggar ska registreras, hanteras centralt, inventeras eller inkluderas i Central Firewall Reporting. Anslutningsprocessen beskrivs i Anslut Sophos Firewall till Sophos Central. Aktivera Central Firewall Reporting är lämplig för rapportering.
Viktiga adminpunkter:
- Centrala administratörer bör ha sina egna konton och lämpliga roller.
- MFA och admin roller bör kontrolleras regelbundet. – Licensstatus och villkor är en del av driftprocessen.
- Ändringar via Sophos Central kan göras mer spårbara i revisionsloggar i aktuella SFOS-versioner. – Om det finns flera centrala konton ska det framgå vilken hyresgäst som innehåller vilka brandväggar och licenser.Sophos Central Kontrollera licenser är lämplig för licensprov. Sophos Central administrativa roller är relevant för behörigheter i Central. För större strukturer är Vad är Sophos Central Enterprise? den bättre starten.
Sophos supportportal
Supportärenden och RMA:er öppnas och hanteras i Sophos Support Portal. Det är också ingångspunkten för många offentliga Sophos KB-artiklar.
Öppna supportportalen:
➜ Gå till Sophos supportportal
För supportärenden bör du förtydliga i förväg:
- Finns det en giltig supportbehörighet eller lämplig licens?
- Vilket serienummer eller central hyresgäst-ID berörs?
- Vilken firmwareversion, apparat, loggar och felmeddelanden är relevanta?
- Finns det skärmdumpar, tidsfönster och reproducerbara steg? – Vem kan nås internt för frågor?
Den praktiska proceduren finns i Hur man öppnar en supportbiljett med Sophos. Om Sophos kräver åtkomst till en brandvägg bör den ställas in på ett kontrollerat sätt och sedan tas bort igen. Ställ in Avanet-supportåtkomst på Sophos Firewall är lämplig för detta.
Lokala Sophos Firewall-portaler
Följande portaler körs på eller i omedelbar närhet av Sophos Firewall. Eftersom de är närmare det produktiva nätverket bör de aktiveras, namnges och säkras med särskild omsorg.
Lokal Sophos Firewall WebAdmin
WebAdmin Console är det lokala administrationsgränssnittet för Sophos Firewall. Åtkomst sker vanligtvis via brandväggens IP och den konfigurerade HTTPS-porten.
Typiska arbetsuppgifter:
- Konfigurera brandväggsregler, NAT och routing
- Hantera VPN, certifikat och autentisering
- Kontrollera loggar, Packet Capture och diagnoser
- Utför firmwareuppdateringar och säkerhetskopieringar
- Device Access, säker MFA och administratörsåtkomst
WebAdmin Console är inte en vanlig webbportal, utan direkt åtkomst till brandväggen. Denna åtkomst bör endast vara möjlig från pålitliga nätverk. Den viktigaste anslutningsposten är Sophos Firewall Säker åtkomst: Konfigurera Device Access korrekt.
Sophos Firewall Komma igång är lämplig för att komma igång med en ny brandvägg. Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och fjärråtkomst är relevant för Admin MFA.
User Portal, VPN Portal och Captive Portal
User Portal och VPN Portal blandas ofta ihop. Båda är lokala tjänster av Sophos Firewall, men de utför olika uppgifter och bör endast aktiveras när de verkligen behövs.User Portal används för användarfunktioner som OTP, personliga nedladdningar eller äldre VPN-funktioner beroende på miljön. VPN Portal är särskilt relevant i aktuella scenarier för fjärråtkomst för nedladdningar av Sophos Connect och VPN-konfigurationer.
En vettig tumregel:
- User Portal: För interna eller kända användare, såsom OTP, personliga alternativ eller äldre användarfunktioner. Typiskt fel: Portalen förblir allmänt tillgänglig även om den inte längre behövs.
- VPN Portal: För användare med fjärråtkomst, Sophos Connect, SSL VPN-profiler och fjärråtkomstkonfigurationer. Typiskt fel: Användare ser inte nedladdningar eftersom policyn, gruppen eller autentiseringen inte matchar.
- Captive Portal: För användare på nätverket, webbläsarinloggning, användarbaserade regler eller gäståtkomst. Typiskt fel: Det förväxlas med VPN Portal eller används utan ett tydligt utloggnings-/sessionskoncept.
Viktiga punkter:– Alla tre portalerna är inloggningsområden och därför säkerhetskritiska.
- Tillgängligheten styrs via Administration > Device access. – Allmänhetens tillgänglighet ska bara göras medvetet och med UD, loggning och strikt tillträdeskontroll. – Gamla portaler förblir ofta öppna trots att användarna inte längre behöver dem efter utrullningen.
- Efter ändringar av VPN-portalen, certifikatet, DNS eller användargrupper kan profiler behöva återimporteras.
Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning är lämplig? är lämplig för beslutet om fjärråtkomst. Sophos Connect Kontrollera klientversionen och uppdatera på ett säkert sätt hjälper till med klientuppdateringar och profilunderhåll.
Om en användare är inloggad på VPN Portal men konfigurationsnedladdningar som .ovpn misslyckas oväntat, bör Sophos Firewall Gräns för användar-ID också kontrolleras förutom behörigheter och MFA.
För nya SSL VPN-miljöer bör du först kontrollera brandväggskonfigurationen och portalberoendena. Processen finns i Sophos Firewall SSL VPN Konfigurera fjärråtkomst.
Planera certifikat, FQDN och portalnamnPortalproblem verkar ofta som ett inloggnings- eller VPN-fel för användare, men de börjar med DNS och certifikat. Om WebAdmin, VPN Portal, User Portal, Captive Portal och WAF körs på liknande värdnamn eller samma WAN-adress, bör du medvetet separera och dokumentera namnen.
Typisk planering:
- WebAdmin: Exempel
admin.example.com. Gör det endast tillgängligt från ledningsnätverk, använd lämpligt certifikat och aktivera MFA. - VPN Portal: Exempel
vpn.example.com. Certifikatet måste matcha nedladdningsprofilen, Device Access bör ställas in medvetet. - User Portal: Exempel
portal.example.com. Lämna endast aktiv om användarfunktioner verkligen behövs. - Captive Portal: Exempel
login.example.com. Testcertifikat, zon, sessionstimeout och utloggningsbeteende. - WAF-applikation: Exempel
app.example.com. Kontrollera WAF-regeln, SNI, domäner och backend-värd tillsammans.
Om själva brandväggen ska erhålla offentliga certifikat är Sophos Firewall Konfigurera Let’s Encrypt-certifikat lämplig. För delade jokerteckencertifikat över flera system är Skapa Let’s Encrypt jokerteckencertifikat den bättre starten.Driftsekvensen är viktig: Planera först FQDN, DNS och certifikat, begränsa sedan portalåtkomst via Administration > Device access och Local Service ACL, distribuera sedan fjärråtkomstprofiler eller WAF-regler. Om ett certifikat eller portal FQDN ändras i efterhand, behöver vanligtvis också Sophos Connect-profiler, .ovpn-filer, bokmärken och övervakning kontrolleras.
Captive Portal korrekt klassificera
Captive Portal är inte en fjärråtkomstportal. Den används när användare på nätverket först ska slutföra en webbläsarinloggning innan brandväggen kan associera trafiken med en användaridentitet. Detta kan vara användbart för gäster, BYOD-enheter eller miljöer utan transparent användaridentifikation.
Typiska tillämpningar:
- Gäster eller BYOD-enheter måste logga in innan internetåtkomst tillåts.
- Användarbaserade brandväggsregler bör träda i kraft även om ingen STAS, SATC eller annan transparent mekanism är tillgänglig. – Enskilda nätverk behöver enkel användarkartläggning utan fullständig slutpunktsintegration.Captive Portal ska inte ses som en ersättning för ren nätverkssegmentering. Om ett nätverk är särskilt värt att skydda är separation via zoner, VLAN och tydliga brandväggsregler fortfarande viktigare. Grunderna finns i Planera zoner och gränssnitt på Sophos Firewall. För klassisk användaranslutning med Active Directory är Integrera Active Directory i Sophos Firewall lämplig.
Om Captive Portal ska drivas med Microsoft Entra ID SSO, är processen annorlunda än för VPN Portal eller Sophos Connect. Konfigurera Microsoft Entra ID SSO för Sophos Firewall Captive Portal är lämplig för detta.
Viktigt i drift:
- Captive Portal behöver tillgängliga lokala brandväggstjänster. Device Access och Local Service ACL måste matcha detta.
- Timeouts för sessionen ska matcha miljön. Sessioner som är för långa späder på användartilldelning, sessioner som är för korta stör användare.
- Logga ut, gruppkartläggning och Log Viewer bör testas med riktiga testanvändare. – I nätverk med känsliga system är Captive Portal vanligtvis inte tillräckligt stark som ensam kontroll.Om Captive Portal inte kan nås från ett nätverk bör du inte ändra normala brandväggsregler först. Ofta är orsaken Administration > Device access, Local Service ACL Exception Rules, DNS, certifikat eller felaktig zonmappning. Device Access och Local Service ACL till Sophos Firewall är lämplig för lokal åtkomstkontroll.
Drift, dokumentation och säkerhet
Förutom rätt portal är det avgörande att åtkomst, dokumentation och driftprocesser kontrolleras regelbundet.
Kontrollera dokumentationen specifikt
För aktuella tekniska detaljer är officiella Sophos-dokument och releasenotes viktigare än gamla blogginlägg eller skärmdumpar. Speciellt med SFOS-versioner, Sophos Connect, licensändringar, plattformsstöd och kända begränsningar, bör du kontrollera versionsberoende information innan du gör en produktiv förändring. Sådana källor bör endast länkas i själva artikeln om administratören verkligen behöver öppna dem för det specifika arbetsmomentet.
När det kommer till firmware-ämnen är det inte bara nedladdningstillgänglighet som räknas. Innan en uppdatering är plattform, uppgraderingsväg, backup, HA-tillstånd och kända blockerare viktiga. Processen är i Kontrollera Sophos Firewall före SFOS 22-uppgradering och Sophos Firewall Firmware Update - Förberedelser och bästa praxis.
Säkerhetskontroll för portalåtkomst
Portaler är bekväma, men varje inloggning är en potentiell attackyta. Det är därför du bör kontrollera regelbundet:
- Vilka SophosID och centrala administratörer finns kvar?
- Är MFA aktivt för SophosID, Sophos Central och brandväggsadministratörer?
- Är WebAdmin, SSH, User Portal, VPN Portal och SSL VPN endast tillgängliga där de behövs?
- Finns det delade administratörskonton som bör ersättas?
- Kontrolleras misslyckade inloggningar regelbundet?
- Tas gamla VPN-profiler, gamla användare och tidigare tjänsteleverantörer bort?
- Finns det en ny säkerhetskopia och känd återställningsåtkomst?
För lokala brandväggstjänster är Device Access den centrala kontrollpunkten. Sophos Firewall Skicka syslog till SIEM är vettigt för längre logglagring eller säkerhetsövervakning.